CVE-2020-11738

IMMEDIATE ACTIONS (0-24 hours):

1. Update Duplicator plugin to version 1.3.28 or later and Duplicator Pro to the latest patched version immediately.

2. Delete all existing installer and backup package files from the WordPress uploads directory (/wp-content/uploads/).

3. Audit web server access logs for unauthorized access to installer.php, installer-backup.php, and .zip/.sql archive files.

4. Rotate all database credentials found in wp-config.php if exposure is suspected.

5. Temporarily disable the Duplicator plugin if patching cannot be done immediately.



PATCHING GUIDANCE:

- Navigate to WordPress Admin > Plugins > Update Available and apply the Duplicator update.

- Verify the installed version is 1.3.28+ via the plugin details page.

- For Duplicator Pro, download the latest version from the vendor portal and manually update.



COMPENSATING CONTROLS (if patch unavailable):

- Block public access to /wp-content/uploads/ directory via .htaccess or NGINX configuration rules.

- Implement IP allowlisting for WordPress admin dashboard access.

- Use a Web Application Firewall (WAF) rule to block requests to installer.php and backup archive files.

- Move backup files to a non-web-accessible directory immediately after creation.



DETECTION RULES:

- SIEM Alert: Monitor HTTP GET requests to paths matching */installer.php* or */wp-content/uploads/*.zip* from external IPs.

- WAF Rule: Block unauthenticated access to installer.php and backup archive files.

- File Integrity Monitoring: Alert on creation of new .zip or .sql files in the uploads directory.

- Splunk Query: index=web_logs uri_path=*installer.php* OR uri_path=*uploads/*.zip* | stats count by src_ip

الإجراءات الفورية (خلال 0-24 ساعة):

1. تحديث إضافة Duplicator إلى الإصدار 1.3.28 أو أحدث، وتحديث Duplicator Pro إلى أحدث إصدار مُصحَّح فوراً.

2. حذف جميع ملفات المثبّت والنسخ الاحتياطية الموجودة في مجلد التحميلات (/wp-content/uploads/).

3. مراجعة سجلات الوصول إلى خادم الويب للكشف عن أي وصول غير مصرح به إلى ملفات installer.php وملفات الأرشيف.

4. تغيير جميع بيانات اعتماد قاعدة البيانات الموجودة في ملف wp-config.php في حال الاشتباه بتعرضها للكشف.

5. تعطيل إضافة Duplicator مؤقتاً إذا تعذّر التحديث الفوري.



إرشادات التصحيح:

- الانتقال إلى لوحة تحكم WordPress > الإضافات > التحديثات المتاحة وتطبيق تحديث Duplicator.

- التحقق من أن الإصدار المثبت هو 1.3.28 أو أحدث.

- لـ Duplicator Pro، تنزيل أحدث إصدار من بوابة المورد وتحديثه يدوياً.



ضوابط التعويض (في حال عدم توفر التصحيح):

- حظر الوصول العام إلى مجلد /wp-content/uploads/ عبر قواعد .htaccess أو NGINX.

- تطبيق قائمة السماح بعناوين IP للوصول إلى لوحة تحكم WordPress.

- استخدام قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات إلى installer.php وملفات الأرشيف.

- نقل ملفات النسخ الاحتياطية إلى مجلد غير متاح عبر الويب فور إنشائها.



قواعد الكشف:

- تنبيه SIEM: مراقبة طلبات HTTP GET إلى مسارات تحتوي على */installer.php* أو */wp-content/uploads/*.zip* من عناوين IP خارجية.

- قاعدة WAF: حظر الوصول غير المصادق عليه إلى installer.php وملفات الأرشيف.

- مراقبة سلامة الملفات: التنبيه عند إنشاء ملفات .zip أو .sql جديدة في مجلد التحميلات.